Uma campanha recente, apelidada de “GreedyBear”, utilizou aproximadamente 150 extensões maliciosas do Firefox para roubar cerca de um milhão de dólares dos proprietários de carteiras de criptomoeda. O esquema, descoberto pela segurança de Koi, envolveu os atores de ameaças que representam extensões legítimas da carteira de criptomoeda na loja do Firefox.
Desde então, Mozilla removeu o malware identificado. No entanto, os pesquisadores sugerem que os invasores poderiam lançar rapidamente campanhas semelhantes, com uma expansão potencial de “GreedyBear” já identificado na loja da Web Chrome através de uma extensão chamada Filecoin Wallet.
As extensões maliciosas pareciam inicialmente benignas. Os atores de ameaças enviaram extensões de carteira criptográfica aparentemente inofensivas com marcas que imitavam plataformas populares como Metamask, TronLink e Rabby. Eles então acumularam críticas positivas falsas para construir confiança. Posteriormente, os atacantes substituíram os nomes e os logotipos e injetaram código malicioso, transformando essas extensões em KeyLoggers. Essas extensões comprometidas foram capazes de capturar entradas de campo de formulário e endereços IP externos das vítimas, transmitindo esses dados confidenciais aos servidores dos atacantes.
Para proteger contra tais ameaças, os usuários são aconselhados contra extensões cegas de confiança encontradas em lojas oficiais de complementos. Antes de instalar uma nova extensão, é crucial ler as análises de usuários completamente além das classificações em estrelas, examinar o histórico da versão e examinar os outros projetos do desenvolvedor para qualquer atividade suspeita. Para carteiras de criptomoeda especificamente, uma prática mais segura é navegar diretamente para o site oficial do projeto, que fornecerá um link para a extensão legítima.
Source: Como 150 extensões falsas do Firefox roubaram US $ 1 milhão em criptomoeda
